サプライチェーン攻撃はサイバー攻撃の一種で、特定の企業サーバーを経由して標的企業のサーバーに攻撃する手法です。経由する企業サーバーは、セキュリティ対策が手薄であることや、標的企業と関連があることが条件となります。

標的企業がセキュリティ対策に力を入れていても、グループ企業や取引先企業のセキュリティに穴があるとそこから狙われる可能性があるということです。

サプライチェーン攻撃の被害は増加しています。IPAが発表しているデータでは、2024年のセキュリティ脅威で第2位になっています。2019年、2020年、2021年は4位、2022年は3位、2023年は2位と順位を上げてきているので、サプライチェーン攻撃による被害に注目が集まっていることが分かります。ちなみに、IPAの「情報セキュリティ10大脅威 2024」の組織向け脅威の順位は以下のようになっています。

サプライチェーン攻撃の手口は複数あります。対象企業のサーバーに直接サイバー攻撃を行うのではなく間に関連するサーバー等を挟むという点では共通していますが、大まかに以下3種類に分類できるでしょう。

それぞれの手口について解説していきます。

取引先・関連会社などを介した手口は、サプライチェーン攻撃の代表的な手口です。被害に対して対策しにくいという特徴もあります。企業規模が大きくなるほど、取引先や関連会社のセキュリティ状況をすべて把握、管理することはほぼ不可能だからです。

そのため、取引先や関連会社のネットワークや情報から侵入される可能性があることを考慮し、ネットワーク設定や情報設定を重要視する必要があります。たとえば取引先や関連会社と資料などを共有する場合は、自社の基幹システムにはアクセスできない運用にすることなどが重要です。

たとえば自社システムの開発を外注している場合、このシステムにマルウェアを仕込む手法などがあります。マルウェアとは、システムに悪影響をもたらすプログラムのことです。ウイルスと呼ばれる場合も多いでしょう。

システムにマルウェアを仕込む手法もサプライチェーン攻撃のよくある手法ですが、外注先からシステムが納品される際にマルウェアが仕込まれるケースは少ないです。外注先はシステム開発を専門的に行っていて、セキュリティ面にも当然配慮しているからです。

ではどのタイミングでマルウェアが仕込まれるのかというと、たとえば外注先を装って第三者が偽のプログラムを送ってくるケースなどが考えられます。外注先がセキュリティ対策を怠ったりサーバーに侵入されることでマルウェアが仕込まれることもありますが、どちらかというと自社の不注意が原因になるケースが多いということです。

取引先や関連会社のサーバーが乗っ取られてサプライチェーン攻撃を受ける手法に比べると、ソフトウェアを介した手口は自社の対策によって攻撃を防ぎやすいでしょう。

サービス事業者を介してサプライチェーン攻撃の被害を受ける事例が増加しています。サービス事業者も年々セキュリティ対策を強化しており、クラウドサービスを利用したからといってサプライチェーン攻撃を受けるリスクは低いでしょう。

では、なぜサービス事業者を介してサプライチェーン攻撃の被害に遭うのかというと、自社のシステムや保守や管理を行う事業者が狙われてしまうためです。それらの企業が運営するサービスに脆弱性が見つかると、そこを利用されて攻撃を仕掛けられてしまいます。

過去にどのようなサプライチェーン攻撃があったのか、被害事例を紹介します。サプライチェーン攻撃手法の被害事例を知っておくことで、事前に対策手法を講じて被害を防ぐことができます。

まずは国外でのサプライチェーン攻撃の被害事例をご紹介します。

ブッキングドットコムは世界最大級の宿泊予約サービスです。ブッキングドットコムは2023年11月に不正アクセスの被害を受け、ユーザーの個人情報が大量流出しました。サプライチェーン攻撃者は、ブッキングドットコムに登録しているホテルに対してマルウェアを送り、これによりシステムに侵入する手法を取りました。

ホテルの担当者がブッキングドットコムにアクセスした際にパスワードなどを盗み、ブッキングドットコムに不正アクセスできる状態になりました。サプライチェーン攻撃者はブッキングドットコムのシステムからユーザーにフィッシングメールを送信し、ユーザーからクレジットカード情報などの個人情報を盗み出す手法を取りました。

2022年1月、アメリカの大手プロバイダーがサイバー攻撃グループにハッキングされました。ただしサプライチェーン攻撃者のターゲットはプロバイダーではなく、プロバイダーはターゲットに攻撃するための経由地です。

プロバイダーをハッキングすることでクライアント企業の情報を入手し、最終的に366社がサプライチェーン攻撃の被害を受けました。

カナダのチャットサービス提供企業がソフトウェアのインストーラーにバックドアを仕込まれ、ハッキング被害に遭う事例がありました。そしてこのチャットサービス企業経由で、ユーザーの情報を盗み出すというサプライチェーン攻撃につながっています。

一部サプライチェーン攻撃の被害が出たものの、ソフトウェアを新しくインストールした者を対象とした攻撃だったため、チャットサービスがすでに広く普及していたことが不幸中の幸いでした。新たにインストーラーを実行してシステムをインストールするユーザーが少なかったため、サプライチェーン攻撃の被害があまり広がらずに済んだということです。

次に国内でのサプライチェーン攻撃の被害が出た事例をご紹介します。

2023年11月27日、LINEヤフーはサプライチェーン攻撃によって約44万人の個人情報が漏洩したことを発表しました。サプライチェーン攻撃者は最初にLINEヤフーの委託先企業の従業員のパソコンに侵入し、そこからLINEヤフーのサーバーに侵入する手法を取りました。

最終的に、LINEヤフーの従業員やユーザーの大量の情報が盗まれたという被害状況です。外部のパソコンが最初にマルウェアに感染していることから、サプライチェーン攻撃の被害を防止するのが難しい事例です。

国内建設コンサルティング大手会社のオリエンタルコンサルタンツは、2021年9月に社内サーバーにランサムウェア攻撃を受けました。マルウェアによってデータが暗号化され、情報が外部に流出した可能性があります。

オリエンタルコンサルタンツはランサムウェア攻撃により業務が滞り、結果的に約7億5000万円の損失を計上する事態になりました。そして東京都や千葉県市川市はオリエンタルコンサルタンツに業務委託していたため、これらの自治体の情報も流出した可能性があるとしています。

オリエンタルコンサルタンツ経由で複数の企業や自治体の情報が盗まれた可能性があることから、サプライチェーン攻撃の被害が発生した可能性のある事例です。また情報流出の懸念がある点からオリエンタルコンサルタンツだけでなく関連企業にも影響はありましたが、情報流出による直接的な被害は発生していません。そのため、あくまでもサプライチェーン攻撃の可能性があるという事例でした。

大阪の総合医療センターは2022年10月31日にサプライチェーン攻撃の被害を受けてシステムに障害が発生し、診療機能に支障が生じました。サプライチェーン攻撃者は給食配給事業者のシステムに不正アクセスし、そこを経由して総合医療センターのシステムに侵入する手法を取りました。

大手自動車メーカーであるトヨタがサプライチェーン攻撃の被害を受けた事例は、一時期ニュース等で話題になりました。セキュリティ対策の甘いサプライヤーがシステムに侵入され、そこからトヨタのシステムがサプライチェーン攻撃の被害を受けたという流れです。1万台を超える自動車が生産停止になったので被害規模の大きい事例です。

サプライチェーン攻撃でサプライヤーを狙うもっとも大きな理由は、大手企業に比べるとサプライヤーの方がセキュリティ対策が甘いことが多いからです。大手企業はセキュリティ対策に力を入れるようになっていますが、中小企業は全体的に遅れている部分があります。

またリモートワークが一般化したこともサプライチェーン攻撃を助長しています。リモートワークを導入したもののセキュリティ対策が追いついておらず、結果的に侵入しやすくなっている企業も多いからです。

サプライチェーン攻撃者の視点では、サイバー攻撃全般に関する知識を容易に得やすくなっており、これもサプライチェーン攻撃を助長しているでしょう。セキュリティ対策に関する情報が増えているようにサイバー攻撃に関する情報も増えています。

サプライチェーン攻撃の件数が増加しているので、対策がより重要になっています。また攻撃者が情報を得て攻撃を強化してくるので、企業側も積極的に情報収集してセキュリティを強化する必要があるでしょう。

サプライチェーン攻撃に対応するためには、一社のセキュリティ対策だけでは不十分です。どれだけセキュリティ対策に力を入れていても、グループ会社や取引先経由で攻撃されると防ぐのが困難だからです。

一社一社がセキュリティ対策に力を入れることが重要なのはもちろん、大手企業は関連会社のセキュリティ対策を強化していく必要があります。具体的には、取引先の選定、契約時にセキュリティ要件を設定する、状況を報告してもらう、といったことが挙げられるでしょう。

サプライチェーン攻撃からの対策には参考規格があります。技術的な対応は専門スキルがないとできませんが、参考規格を把握していれば専門家への依頼や、自社にセキュリティエンジニアなどが在籍している場合は対応方針が明確になりやすいです。

サイバーセキュリティ経営ガイドラインVer2.0は、経済産業省とIPAが策定したサイバーセキュリティに関するガイドラインです。ガイドラインにはサーバーセキュリティに関する体制構築や管理など幅広く記載されています。

サプライチェーン攻撃については、自社のサイバーセキュリティ対策だけでなくサプライチェーンのビジネスパートナーや委託先も含めた総合的なサイバーセキュリティ対策の重要性を指摘しています。

具体的には、契約時にセキュリティに関する内容を含めること、運用に関する管理や監視の重要性などが記載されています。サプライヤーにセキュリティ対策の重要性を訴えるだけでは不十分なので、大手企業がセキュリティ対策に積極的に関与していく必要があるということです。

NIST SP800とNIST CSFは米国国立標準技術研究所が発行したセキュリティ規格です。まずNIST SP800は企業やその他の組織が機密情報を管理する際のガイドラインを示したものです。たとえば、防衛装備庁はNIST SP800のセキュリティ要件を調達基準に盛り込んでいます。そのため防衛産業に関連する企業は、NIST SP800の基準を満たしたうえで防衛装備庁と取引する必要があります。

NIST CSFのCSFとはCyber Security Frameworkの略です。NIST SP800同様に米国国立標準技術研究が発行しました。NIST CSFはインフラ事業者向けのサイバーセキュリティ規格でしたが、現状は幅広い企業や組織に浸透しています。NIST CSFはセキュリティ対策を以下5つの管理機能で分類している点が大きな特徴です。

上記5つの管理機能に対して、23のカテゴリーと108のサブカテゴリーが設定されています。

年々サイバー攻撃もセキュリティ対策も進化しています。いずれも情報が増加していてその気になれば情報を得られる状況なので、セキュリティに対する格差も広がっているでしょう。結果的に、大手企業はセキュリティ対策に力を入れているものの、中小企業ではセキュリティ対策が甘いケースが多いです。

中小企業は自社はターゲットにはならないだろうと安易に考えている可能性もありますが、サプライチェーン攻撃はその甘さを狙ったサイバー攻撃です。サプライチェーン攻撃者から見ると、大手企業を直接攻撃するよりも効率的でしょう。

一社一社がセキュリティ対策を徹底できれば良いですが、認識にも格差があるため現実的には厳しいです。そこで重要になるのが、ターゲットになりやすい大手企業がサプライヤーのセキュリティ面も管理していくことです。

サプライヤー全体のセキュリティを管理するには労力も費用もかかり、取引先等が制限されることにもつながるでしょう。しかしサプライチェーン攻撃の被害を受けると影響が大きいので、サプライチェーン攻撃にリソースを割く価値は大きいです。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。